Avaliação das Práticas de Auditoria Interna da Secretaria Federal de Controle Interno da CGU sob a Ótica da Auditoria Baseada em Riscos

(1)

Avaliação das Práticas de Auditoria

Interna da Secretaria Federal de Controle

Interno da CGU sob a Ótica da Auditoria

Baseada em Riscos

1 Assessment of the Office of the Comptroller General´s Internal

Auditing Process Through the Risk-Based Approach

Tatiana Freitas de Oliveira

Resumo: O gerenciamento de riscos tem figurado entre os fatores considerados imprescindíveis para o sucesso e a continuidade das organizações ao redor do mundo. A atividade de auditoria interna, por sua vez, tem de-senvolvido abordagens, tal como a Auditoria Baseada em Riscos (ABR), que lhe permitam adicionar valor às organizações a partir de trabalhos direcionados aos principais riscos do negócio. Pretende-se com o presente estudo analisar se a Secretaria Federal de Controle Interno (SFC), a qual exerce o papel de auditoria interna do Poder Executivo federal, utiliza práticas de auditoria alinhadas com a ABR. Para tanto, foi utilizada como referência a metodologia preconizada pelo The Institute of Internal Auditors (IIA), e realizada pesquisa documental e aplicação de questionário junto aos responsáveis pelas áreas que desenvolvem os trabalhos de auditoria na SFC. A partir da comparação dos métodos de trabalho da Secretaria e do preparo dos auditores internos governamen-tais com o que preceitua o IIA, concluiu-se que, no geral, a SFC possui pontos de atuação similares à ABR, tanto em relação às diretrizes formalmente definidas, quanto em relação à forma de atuação das áreas técnicas. Não obstante, verificou-se que as práticas de auditoria da SFC não se encontram totalmente alinhadas à ABR, e que os auditores internos não estão, por conseguinte, suficientemente preparados tecnicamente para executá-la. Considerou-se, no entanto, que recentemente foi editado normativo que estabelece a necessidade de a SFC utilizar abordagens de trabalho baseadas em riscos; sendo de se esperar, portanto, que os seus processos internos sejam paulatinamente adaptados, e que os auditores sejam preparados ao longo do tempo para atuarem em conformi-dade com a essa nova perspectiva.

Palavras-chave: Secretaria Federal de Controle Interno, auditoria de risco, Poder Executivo

Abstract: Risk management has been considered essential for the success and continuity of organizations around the world. To add value to institutions through activities directed at the main businesses’ risks. The internal audit has developed the risk-based approach This study analyzes whether the Federal Internal Control Department (SFC), which exercises the internal audit role in the federal government, is in line with risk-based approach. To do so, the methodology recommended by The Institute of Internal Auditors (IIA) was used as reference, and a documentary research and questionnaire application was carried out with public officials responsible for the areas that perform audits in the SFC. Based on the comparison of the Department’s working methods and the preparation of internal government auditors with the IIA, it was concluded that, in general, the SFC has similar points of operation to ABR, both in relation to the formally defined guidelines, as well as in relation to the technical areas. However, it has been found that SFC's audit practices are not fully aligned with ABR, and that internal auditors are therefore not sufficiently prepared to perform them. It was considered, however, that recent legislation was issued that requires the SFC to use risk-based approaches to work; and it is therefore expected that their internal processes will be gradually adapted and that auditors be prepared over time to act in accordance with this new perspective.

Keywords: Office of the Comptroller General´s Internal Auditing Process, risk audit, Executive Branch

(2)

Avaliação das Práticas de Au-ditoria Interna da Secretaria Federal de Controle Interno da CGU sob a Ótica da Auditoria Baseada em Risos

O

gerenciamento dos riscos de

negó-cio tem sido apontado como ativi-dade crucial para o crescimento, e para a continuidade de muitas organizações em todo o mundo. Nesse sentido, muitas empresas estão buscando implementar práticas de gestão de riscos pela primei-ra vez, ou aprimoprimei-rar os mecanismos já existentes. A atividade de auditoria in-terna, por sua vez, não pode se furtar a compreender e a participar dessas inicia-tivas, devendo melhorar as suas formas de atuação de modo que lhe seja possível adicionar valor às organizações. A audi-toria baseada em riscos constitui uma das formas de alinhar a atuação da auditoria interna ao processo de gerenciamento de riscos, permitindo que o foco dos tra-balhos realizados esteja voltado para os principais riscos de uma organização não atingir os objetivos para os quais existe. Tatiana Freitas de Oliveira - Graduada em

Engenharia de Produção pela Universidade Federal de Minas Gerais, e pós-graduada em Orçamento Público pelo Instituto Legislativo Brasileiro. É Auditora Federal de Finanças e Controle desde 2008, atualmente ocupan-do o cargo de Coordenaocupan-dora-Geral de Atendimento ao Cidadão na Ouvidoria-Geral da União. Trabalhou na Coordenação-Geral de Técnicas e Procedimentos e nas Coordenações-Gerais de Auditoria da Educação Superior e do Desenvolvimento Agrário. Participou da elaboração da Instrução Normativa SFC nº 03, de 09 de junho de 2017, e da Instrução Normativa SFC nº 08, de 06 de dezembro de 2017, as quais aprovaram, respectivamente, o Referencial Técnico e o Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental do Poder Executivo Federal. Obteve aprovação no exame Certified Internal Auditor (CIA) 1, do Institute of Internal Auditors (IIA), é membro do Instituto, e tem participa-do de capacitações relacionadas à Auditoria Baseada em Riscos e ao processo de Gerenciamento de Riscos.

(3)

Tatiana Freitas de Oliveira

A proposta do presente estudo é anali-sar em que medida as práticas de auditoria da Secretaria Federal de Controle Interno (SFC), órgão público federal pertencente à estrutura do Ministério da Transparência e Controladoria-Geral da União (CGU), são aderentes aos requisitos da metodologia da auditoria baseada em riscos preconizada pelo

The Institute of Internal Auditors (IIA).

A pertinência dessa análise se justifica não apenas pela importância do tema, mas sobre-tudo pelo recente reforço normativo dado à temática gestão de riscos no âmbito dos órgãos e entidades da Administração Pública Federal, tal como se observa na Instrução Normativa Conjunta (IN) MP/CGU n. 01, de 10 de maio de 2016, e, no âmbito das empresas estatais, na Lei n. 13.303, de 30 de junho de 2016.

Como consequência, tendo em vista a SFC figurar como unidade de auditoria interna do Poder Executivo Federal, responsável por fo-mentar a instituição e a melhoria do gerencia-mento de riscos dos órgãos e entidades fede-rais e por realizar avaliações independentes sobre o seu funcionamento, faz-se necessário que os seus processos de trabalho estejam alinhados à abordagem de riscos, bem como que os seus auditores internos estejam devida-mente capacitados nessa temática.

Dessa forma, constitui objetivo deste tra-balho avaliar em que medida os mecanismos instituídos pela SFC e a sua forma de atuação junto às unidades que lhes são jurisdicionadas estão alinhados com a metodologia de audito-ria interna baseada em riscos indicada pelo IIA.

Para tanto, decidiu-se abordar o problema de pesquisa por meio de duas dimensões:

a) Métodos de trabalho:

A auditoria baseada em riscos é uma meto-dologia operacionalizada por meio de proces-sos de trabalho que devem estar devidamente estruturados. Nesse sentido, essa dimensão tem por finalidade avaliar os processos ins-tituídos pela SFC para fins de elaboração do seu plano anual de auditoria e para realização dos trabalhos de auditoria.Para essa análise, foram formuladas as seguintes hipóteses:

H1 – A forma de elaboração do plano anual de auditoria da SFC é compatível com a metodologia prevista na auditoria baseada em riscos preconiza-da pelo IIA;

H2 – Os processos de trabalho relativos aos traba-lhos de auditoria da SFC são compatíveis com as diretrizes da auditoria baseada em riscos preconi-zada pelo IIA.

b) Preparo dos auditores internos:

Considerando que na auditoria baseada em riscos todo o processo de auditoria interna se baseia na gestão de risco, é necessária uma evolução técnica dos profissionais para alterar a orientação, os objetivos e os resultados dos seus trabalhos (Castanheira, 2007). Assim, para avaliar essa dimensão, foram elaboradas as seguintes hipóteses:

H3 – Os auditores internos da SFC estão tecni-camente preparados para realizar trabalhos de au-ditoria compatíveis com a metodologia da auau-ditoria baseada em riscos preconizada pelo IIA;

H4 – Os auditores internos da SFC estão sensi-bilizados para a mudança de abordagem requerida pela auditoria baseada em riscos preconizada pelo IIA em relação à auditoria interna tradicional.

Fundamentação Teórica

Definição e funções da auditoria interna

Para Arens, Elder e Beasly (2012), audito-ria é a acumulação e a avaliação de evidências sobre informações para determinar e reportar o grau de correspondência entre a informação e um dado critério, devendo ser realizada por um profissional competente e independente.

A auditoria interna, por sua vez, é defini-da pelo Institute of Internal Auditors (IIA) como uma atividade

independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemáti-ca e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança.

Para Lisboa (2014), a atividade de auditoria interna está intimamente relacionada à evolu-ção do Sistema Capitalista norte americano, pois, com a evolução das transações interna-cionais, além dos trabalhos realizados pelas

(4)

firmas de auditoria independente, houve a necessidade de as administrações das grandes organizações darem maior ênfase às normas e procedimentos internos. Ainda, segundo Ramamoorti (2003), deveria haver garantias internas que suportassem a tomada de deci-sões pela administração.

No início do século XX, “o estabelecimen-to de uma função de audiestabelecimen-toria interna que pu-desse exercer essas atribuições foi visto como uma resposta lógica” (RAMAMOORTI, 2003, p. 3). Lisboa (2014) acrescenta que “era necessário manter dentro das próprias organizações um grupo de empregados “de confiança” para exercer as funções de “audi-tores” que, por pertencerem à própria orga-nização, foram denominados de “internos”” (LISBOA, 2014, p. 8-9).

Para Reeve (1986 apud RAMAMOORTI, 2003, p. 4), “iniciando como uma função in-terna de negócios focada na proteção contra fraudes de folha de pagamento, perda de caixa e outros ativos, o escopo da auditoria interna rapidamente foi estendido para a verificação de quase todas as transações financeiras [...]”.

Posteriormente, observou-se que “De um corpo de funcionários quase sempre su-bordinados à contabilidade, pouco a pouco, a auditoria interna passou a ter um enfoque de controle administrativo, cujo objetivo era avaliar a eficácia, a eficiência e a efetividade da aplicação dos controles internos (CASTRO, 2009, p.160).

Como reflexo da evolução dos trabalhos realizados pela auditoria interna, houve a ne-cessidade de estabelecer diretrizes e padrões amplamente aceitos para orientar e facilitar o exercício da atividade.

No entendimento de Ramamoorti (2003), “o estabelecimento, crescimento e evolução da profissão de auditoria interna contempo-rânea está intimamente interligado com a his-tória do Institute of Internal Auditors (IIA)” (RAMAMOORTI, 2003, p. 2).

Criado em 1941 nos Estados Unidos, o IIA é uma associação profissional internacio-nal com sede em Lake Mary, Flórida, desti-nada a promover e a desenvolver a prática da auditoria interna. No Brasil, o instituto filia-do ao IIA Global foi fundafilia-do em 1960, sob a denominação de Audibra, tendo sido reno-meado em 2010 para Instituto dos Auditores

Internos do Brasil (IIA Brasil), seguindo o ali-nhamento à marca (IIA BRASIL, 2017).

Como autoridade mundialmente reco-nhecida, o IIA Global estruturou uma base conceitual de informações oficiais para o exercício da atividade de auditoria interna, a chamada International Professional Practices Framework (IPPF), que organiza as informa-ções oficiais promulgadas pelo Instituto (IIA BRASIL, 2017).

Além da IPPF, o IIA divulga textos técni-cos com a finalidade de orientar e de promo-ver a atividade de auditoria interna. A partir desses textos, é possível compreender como o Instituto entende que determinados assuntos devem ser tratados.

Entre esses textos, por essencial ao contex-to do presente trabalho, menciona-se o Risk based internal auditing (2014), documento que consigna o entendimento do IIA sobre auditoria baseada em riscos.

Auditoria interna na Administração Pública

Federal – Poder Executivo

No contexto do poder Executivo federal, o conceito da atividade de auditoria inter-na goverinter-namental está assim definido pela Instrução Normativa SFC n. 03, de 09 de ju-nho de 2017:

Atividade independente e objetiva de avaliação (assurance) e consultoria, desenhada para adicio-nar valor e melhorar as operações das organizações públicas. A atividade de auditoria interna gover-namental está situada na terceira linha de defesa da gestão pública e tem como objetivo auxiliar uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e discipli-nada para avaliar e melhorar a eficácia dos proces-sos de governança, de gerenciamento de riscos e de controles (BRASIL, 2017).

No âmbito do setor público federal, o arti-go 30, caput, do Decreto-Lei n. 200, de 25 de fevereiro de 1967, estruturou a função de au-ditoria na forma de sistema, sujeito à orienta-ção normativa, à supervisão técnica e à fisca-lização de um órgão central (BRASIL, 1967).

O mesmo Decreto-Lei, no artigo 13, preleciona que o controle das atividades da Administração Federal deverá ser exercido em todos os níveis e em todos os órgãos, compre-endendo, particularmente:

(5)

a) o controle, pela chefia competente, da execução dos programas e da observância das normas que go-vernam a atividade específica do órgão controlado; b) o controle, pelos órgãos próprios de cada sistema, da observância das normas gerais que regulam o exercício das atividades auxiliares;

c) o controle da aplicação dos dinheiros públicos e da guarda dos bens da União pelos órgãos próprios do sistema de contabilidade e auditoria (BRASIL, 1967).

Nesse sentido, as atividades desempenha-das pelo órgão de auditoria do poder execu-tivo federal seriam uma parte das funções do sistema de controle interno, no qual também se incluiriam as atribuições dos agentes res-ponsáveis pela primeira e segunda linhas de defesa de cada órgão e entidade pertencente à administração federal.

De maneira diversa desse entendimento, a Lei n. 10.180, de 06 de fevereiro de 2001, ao invés de considerar o sistema de controle interno como uma atividade difusa, exercida por todos os órgãos e em diferentes níveis de atuação, ocupou-se de estabelecer uma abor-dagem morfológica, delimitando os integran-tes do chamado Sistema de Controle Interno do Poder Executivo Federal (SCI) (BRASIL, 2001). Conforme artigo 22 da referida Lei:

Integram o Sistema de Controle Interno do Poder Executivo Federal:

I - a Secretaria Federal de Controle Interno, como órgão central;

II - órgãos setoriais (BRASIL, 2001).

A Secretaria Federal de Controle Interno (SFC), objeto de análise neste trabalho, integra o Ministério da Transparência e Controladoria-Geral da União (CGU), e sua área de atuação inclui todos os órgãos do Poder Executivo Federal, exceto aqueles de abrangência dos órgãos setoriais de controle interno (BRASIL, 2001), ou Secretarias de Controle Interno (CISET) do Ministério das Relações Exteriores, do Ministério da Defesa, da Advocacia-Geral da União e da Casa Civil.2

A partir da análise das competências

atri-2. Conforme artigo 8º, § 4o, do Decreto no 3.591, de 06 de setem-bro de 2000, a Secretaria de Controle Interno da Casa Civil ficou responsável pelas atividades de controle interno da Advocacia-Geral da União, até a criação do seu órgão próprio. Essa criação ainda não ocorreu.

buídas aos integrantes do SCI pelo artigo 24 da Lei n. 10.180, e da finalidade das atividades a cargo do Sistema, especificada pelo artigo 7º do Decreto no 3.591, observa-se que os respectivos órgãos e unidades exercem, entre outras, atividades típicas de auditoria interna especificadas pelo IIA, quais sejam: avaliação e consultoria (BRASIL, 2001; BRASIL, 2000; IIA Brasil, 2017).

Esse entendimento encontra-se consigna-do na IN SFC n. 03, a qual aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal, destinado a orientar a atuação das Unidades de Auditoria Interna Governamental (UAIG).

Direcionamento para uma abordagem de

riscos

Nos últimos anos, iniciativas voltadas para o fortalecimento da gestão de riscos na Administração Pública Federal têm ganhado força no cenário nacional.

Em 2011, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) re-alizou, a pedido da CGU, uma avaliação do Sistema de Integridade da Administração Pública Federal, em que foram analisadas a implementação e a coerência de instrumentos, processos e estruturas de salvaguarda da inte-gridade. A finalidade do trabalho era fornecer subsídios para o fortalecimento da integridade e a prevenção da corrupção no serviço público.

No resultado do trabalho, entre as reco-mendações emitidas, destaca-se a de “integrar a gestão de riscos como elemento-chave da responsabilidade gerencial, de modo a pro-mover a integridade e prevenir a improbidade, os desvios e a corrupção” (ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO, 2011). Conforme entendimento da OCDE, esse esforço deveria ser conduzido de for-ma conjunta entre a CGU e o Ministério do Planejamento, Desenvolvimento e Gestão.3

Dentre as ações encampadas pela CGU, verifica-se que o Referencial Técnico para atuação das Unidades de Auditoria Interna Governamental, aprovado pela IN SFC n. 03, revela a intenção da SFC em convergir com os padrões internacionais relativos à prática

3. À época, denominado Ministério do Planejamento, Orçamento e Gestão.

(6)

da auditoria interna, direcionando a forma de atuação das UAIG para uma abordagem vol-tada para os riscos aos quais os órgãos e en-tidades estão expostos. Esse direcionamento pode ser identificado em diferentes partes do texto, como nos parágrafos 16, 62, 68, 70, 83 e 120 (BRASIL, 2017).

No aspecto da gestão, outros normativos também instituíram a obrigatoriedade de ór-gãos e entidades do Poder Executivo federal sistematizarem medidas relacionadas à gestão de riscos, aos controles internos, e à gover-nança.

O principal exemplo é a Instrução Normativa Conjunta MP/CGU n. 01, de 10 de maio de 2016, o qual estabeleceu prazo de um ano, a contar da sua data de publicação, para que os órgãos e entidades instituíssem políticas de gestão de riscos nos termos es-pecificados no normativo. Verifica-se, inclu-sive, compatibilidade entre a emissão dessa Instrução Normativa com a recomendação emitida pela OCDE na avaliação realizada pela Organização em 2011 e mencionada no início desta seção.

Adicionalmente, a Lei n. 13.303, de 30 de junho de 2016, que dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios, estabelece que esse documento deverá observar, entre outras re-gras, medidas relacionadas às práticas de ges-tão de riscos e de controle interno.

Nessa perspectiva, tendo em vista que os instrumentos de gestão estão sendo direcio-nados para a temática de riscos, com a insti-tuição de políticas, práticas e procedimentos voltados para essa abordagem, considera-se necessário que a SFC, enquanto unidade de auditoria interna do Poder Executivo Federal, possua mecanismos eficazes tanto para auxi-liar os órgãos e entidades no estabelecimento do gerenciamento de riscos, quanto para ava-liar aqueles já implementados.

Auditoria baseada em riscos

Segundo o IIA, a Auditoria Baseada em Risco (ABR) é uma metodologia que associa a auditoria interna ao arcabouço global de ges-tão de riscos de uma organização. Conforme entendimento do Instituto, a ABR possibilita

que uma auditoria interna dê garantia ao con-selho diretivo de que os processos de gestão de riscos estão gerenciando os riscos de ma-neira eficaz em relação ao apetite a riscos.

De acordo com Griffiths (2015b), a ABR constitui uma metodologia que permite à au-ditoria interna fornecer ao conselho de admi-nistração opinião quanto ao gerenciamento de riscos, comparando o seu desempenho com o nível considerado aceitável pela organização.

Acerca da realização da auditoria baseada em risco, Castanheira (2007) afirma que cons-titui “uma abordagem que integra princípios de gestão de risco em todo o processo de au-ditoria, quer ao nível do processo de plane-amento anual, quer ao nível do processo de planeamento, execução e reporte de auditoria individual, contribuindo para um processo eficaz de gestão de risco” (CASTANHEIRA, 2007, p. 115).

Benli e Celayir (2014) fazem referência à crescente importância dos modelos de gestão de riscos para pontuar que houve a necessida-de necessida-de a auditoria interna também incorporar a noção de riscos nos seus processos de tra-balho. Afirmam, ainda, que com abordagem baseada em risco, os trabalhos passaram a ser alocados para áreas de alto risco nas empresas, o que configurou uma mudança drástica para a auditoria interna no início dos anos 2000.

Das definições acima, depreende-se que a ABR deve operar de modo a permitir aos auditores internos emitir opinião sobre o funcionamento da gestão de riscos definida e operacionalizada pela organização. Alguns autores e o próprio IIA asseveram que, se o arcabouço da gestão de riscos não for robusto ou não existir, a organização não está pronta para a ABR (GRIFFITHS, 2015b).

Processo da auditoria baseada em risco

A implementação da ABR constitui atri-buição da própria auditoria interna, e o res-ponsável pela área deve buscar junto ao con-selho e à administração o apoio necessário à sua consolidação.

Nesse sentido, conforme entendimento de Silva (2015), a articulação junto aos stakehol-ders4_{é fundamental, na medida em que a}

com-preensão da importância da ABR por parte

4. Pessoas, grupos ou entidades que possuem interesses nas ações e no desempenho de uma organização (TRINDADE, 2011).

(7)

dos atores envolvidos é elemento crucial para o desenvolvimento e a implementação de um formato de auditoria que vá além da mera for-malidade, e que efetivamente contribua com um olhar crítico e construtivo para a melho-ria da instituição. De acordo com Griffiths (2015b), para que a auditoria interna seja capaz de reportar ao conselho a situação do geren-ciamento de riscos na organização, duas etapas de auditoria são necessárias, quais sejam:

a) Exame da estrutura de controles internos esta-belecida pela organização;

b) Teste dos controles contidos na estrutura.

O autor pondera que o exame e o tes-te dos controles ocorrem por meio dos trabalhos de auditoria, direcionados aos riscos mais críticos. Tais trabalhos, por-tanto, devem ser planejados levando em consideração os principais riscos da or-ganização auditada. A figura 1 apresen-ta as principais eapresen-tapas relativas ao pro-cesso de auditoria baseada em riscos, incluindo a definição de um plano anual e a realização dos trabalhos.

FIGURA 1 – PROCESSO DA AUDITORIA BASEADA EM RISCOS

(8)

Por ser mais detalhada e didática, optou-se por realizar a análioptou-se do preoptou-sente estudo tomando por base as etapas indicadas por Griffiths (2015b), cuja abordagem é basea-da na publicação do Chartered Institute of Internal Auditors (IIA – UK e Ireland) inti-tulada “Risk Based Internal Auditing” (2014). Nesse documento, o Instituto apresenta três etapas de implementação da auditoria ba-seada em riscos, quais sejam: avaliação da ma-turidade do risco; planejamento periódico da auditoria e trabalhos de auditoria. Conforme se depreende da Figura 1, essas três etapas são pontos centrais na estrutura proposta por Griffiths (2015b).

Benefícios e desafios

As estruturas de gestão de risco têm sido frequentemente apontadas como formas efe-tivas de aumentar as chances de as organiza-ções atingirem os seus objetivos.

A auditoria baseada em riscos, por sua vez, “fornece uma clara e valiosa contribuição para o gerenciamento de riscos provendo uma ava-liação objetiva e facilitando os esforços dos gestores para fortalecer a estrutura” (IIA – UK E IRELAND, 2014a, p. 1). Adicionalmente, reforça a responsabilidade da administração pela gestão dos riscos, especialmente quanto à implementação de controles e de outras res-postas aos riscos.

Outro benefício da ABR, apontado por Pommerening e Bencke (2011) é a abordagem estratégica e tática dos negócios da organiza-ção, o que proporciona um salto de valor para a auditoria interna. Esse salto ocorre devido ao foco dos trabalhos naquilo que é necessá-rio para favorecer o atingimento dos objetivos organizacionais.

Em relação aos resultados dos trabalhos, Cicco (2006, p. 2) pontua que “os utilizado-res da ABR indicam também que os relatórios das auditorias baseadas em riscos são mais fáceis de preparar e de "vender", sem criar atritos desnecessários”. No entendimento de Pommerening e Bencke (2011, p. 23) essa maior aceitabilidade decorre do fato de os re-portes apontarem “medidas preventivas, em detrimento de medidas corretivas/reativas”.

Quanto aos desafios, as qualidades e com-petências requeridas dos profissionais de au-ditoria podem ser apontadas como umas das

principais dificuldades de operacionalização da auditoria baseada em riscos.

Griffiths (2015a) aponta que provavel-mente muitos processos a serem auditados na ABR nunca o tinham sido antes, o que de-manda a formatação do programa de audito-ria (elaboração dos testes a serem realizados) durante a execução do trabalho, sem que pro-cedimentos utilizados anteriormente possam ser aproveitados. Segundo o autor, essa situa-ção requer que a equipe:

• utilize iniciativa e criatividade • aprenda e entenda processos complexos •trabalhe a partir de princípios básicos

•organize seu trabalho sob pouca supervisão direta •se comunique efetivamente com todos os níveis de gestão e com os funcionários

•escreva concisos mas compreensíveis relatórios (GRIFFITHS, 2015, a, p. 12-13)

Castanheira (2007) também reforça o im-pacto no perfil dos auditores internos, além de destacar a importância do desenvolvimen-to profissional contínuo.

Esses requisitos incrementam a respon-sabilidade do chefe da unidade de auditoria interna de gerenciar as habilidades dos pro-fissionais, orientando e promovendo a sua capacitação, e buscando, caso necessário, es-pecialistas externos que possam auxiliar na realização das atividades.

Outro fator que pode trazer dificuldades e até impedimento à implementação da auditoria baseada em riscos é a inexistência de uma estru-tura de gestão de riscos na organização, e caso a estrutura exista, a sua maturidade (GRIFFITHS, 2015A;). Na administração pública federal, in-clusive, esse pode ser um dos limitadores da adoção da metodologia por parte das unidades de auditoria interna governamentais, inclusive da SFC, dado que apenas com a publicação da IN Conjunta MP/CGU n. 01/2016 foi estabe-lecida a obrigatoriedade de os órgãos e entida-des instituírem políticas formais e práticas siste-matizadas de gestão de risco.

(9)

Procedimentos Metodológicos

Para examinar as questões apontadas, foi realizada pesquisa do tipo exploratória, tendo em vista a proposta inicial de conhecer como o problema de pesquisa acontece na organi-zação analisada. Na visão de Gil (2002, p. 41), as pesquisas exploratórias “têm como objeti-vo “proporcionar maior familiaridade com o problema, com vistas a torná-lo mais explícito ou a constituir hipóteses. Pode-se dizer que estas pesquisas têm como objetivo principal o aprimoramento de ideias ou a descoberta de intuições”.

A modalidade de pesquisa utilizada foi o estudo de caso, o qual, na concepção de Gil (2002, p. 54), “consiste no estudo profundo e exaustivo de um ou poucos objetos, de ma-neira que permita seu amplo e detalhado co-nhecimento”.

A natureza dos dados levantados é quali-tativa, sendo que sua coleta ocorreu por meio de pesquisa bibliográfica, de pesquisa docu-mental e da aplicação de questionário.

Na pesquisa bibliográfica, foram utilizadas como fontes normativos e trabalhos de insti-tuições e de pesquisadores relativos à temática da auditoria interna e da gestão de riscos.

A pesquisa documental baseou-se em do-cumentos obtidos no website da CGU e em documentos levantados junto à SFC. Foram analisados manuais (de Auditoria Anual de Contas, de Auditoria de Recursos Externos e de Avaliação da Execução de Programas de Governo) e a Orientação SFC no 25, de 26 de julho de 2016, destinada a orientar o planeja-mento da SFC para o exercício de 2017.

O questionário foi aplicado de forma eletrônica, e enviado para os titulares das Coordenações-Gerais da SFC que realizam auditoria, totalizando vinte e três. As per-guntas foram estruturadas em três blocos: o primeiro dispôs sobre o planejamento anual dos trabalhos da SFC; o segundo, sobre os trabalhos de auditoria; e o terceiro, sobre o preparo dos Auditores Federais de Finanças e Controle.

Discussão dos Resultados

Conforme metodologia definida para o trabalho, os resultados dessa pesquisa foram alcançados por meio da análise de documen-tos obtidos no website da CGU e de outros colhidos junto à SFC, bem como da consoli-dação das respostas ao questionário aplicado. Dos vinte e três coordenadores-gerais para os quais o questionário foi encaminhado, dezes-seis responderam, configurando uma taxa de resposta de quase 70%. As subseções a seguir especificam as conclusões relativas a cada uma das hipóteses formuladas.

Métodos de trabalho

H1 – A forma de elaboração do plano

anual de auditoria da SFC é compatível

com a metodologia prevista na auditoria

baseada em riscos preconizada pelo IIA

Para análise dessa hipótese, foram estuda-das as diretrizes que estabeleceram a sistemá-tica e os critérios para formação do plano de auditoria da SFC para o exercício de 2017, e consideradas as respostas ao questionário.

O principal documento formatado para direcionar a elaboração do planejamento de 2017 é a Orientação SFC no 25, de 26 de julho de 2016, sobre a qual foi realizada a análise.

O que se verificou a partir dessa avaliação é que a metodologia utilizada pela CGU pos-sui alguns pontos comuns com a metodologia do IIA, mas pode-se considerar que há grande diferença entre as abordagens.

Conforme consta na Orientação SFC no 25 (2016), o planejamento anual da SFC é formalizado por meio de dois documentos: o Plano Tático e o Plano Operacional.

O Plano Tático apresenta a relação dos te-mas a serem auditados no exercício; e o Plano Operacional apresenta o período e a forma como esses temas serão abordados, dado que, conforme melhor especificado na análise da Hipótese 2, a CGU atua de diferentes formas na execução dos trabalhos de auditoria.

(10)

A definição de “tema” encontra-se assim estabelecida no anexo da referida Orientação SFC:

O tema é a atividade/processo executado pela Administração Pública Federal e que pode ser ob-jeto de controle por parte da Secretaria Federal de Controle. Foi definido que os temas têm como fon-te, dois grandes pilares: Políticas Públicas geridas pelo Governo Federal e a Gestão de Unidades da Administração Pública Federal (SECRETARIA FEDERAL DE CONTROLE INTERNO, 2016, ANEXO, p. 2).

A sistemática de composição do plano táti-co de 2017 foi iniciada táti-com o Mapeamento de Temas, de modo a obter conhecimento amplo do universo de temas passíveis de serem audi-tados pela CGU.

Cabe destacar que o levantamento dos te-mas foi feito a partir da visão individual de cada uma das Unidades da Administração Pública Federal sob a jurisdição da SFC. No entan-to, após esse levantamenentan-to, foi composto um catálogo de temas único por Coordenação-Geral da SFC, consolidando os temas de to-das as Unidades sob a sua responsabilidade. As etapas subsequentes do planejamento anu-al, por sua vez, levaram em consideração essa relação de temas.

Essa sistemática constitui ponto crucial de afastamento da metodologia da ABR con-siderada nesse trabalho. Tendo em vista que o planejamento da SFC não é específico para cada Unidade, a forma de seleção dos objetos auditáveis dificilmente resultará num conjun-to de temas que permita, ao final do período planejado, a emissão de opinião sobre o ge-renciamento de riscos de cada Unidade, obje-tivo principal da ABR.

Assim, para o contexto da CGU, deve-se considerar que, tendo em vista sua área de atuação abranger todos os órgãos do Poder Executivo Federal, exceto aqueles de abran-gência dos órgãos setoriais, a quantidade de Unidades sob a sua responsabilidade, conside-radas aquelas em Brasília e nos Estados, cons-titui um forte limitador à aplicação da ABR, no formato preconizado pelo IIA, bem como ao tratamento individualizado das Unidades.

A segunda etapa da composição do Plano Tático de 2017 foi a análise de risco dos temas mapeados, com a finalidade de identificar, no

contexto de cada Coordenação-Geral da SFC, quais temas eram mais críticos e sensíveis. Para tanto, foi utilizada uma matriz contendo critérios de riscos (matriz de riscos).

A partir da categorização obtida por meio da matriz de riscos, iniciou-se a terceira eta-pa, em que cada Coordenação-Geral propôs, para o respectivo diretor da área, alguns te-mas (quantos consideraram pertinentes) para serem incluídos no rol de temas importantes de serem auditados.

Na quarta fase, os temas indicados pelas Coordenações-Gerais foram apresentados às demais diretorias da SFC em encontros pre-senciais, para que houvesse conhecimento geral quanto àqueles considerados mais re-levantes pelas áreas responsáveis. As CGU Regionais acompanharam esses encontros remotamente de suas respectivas sedes, por meio de sistema de vídeo e som.

Na sequência, os titulares dos cargos de chefia e de assessoramento pertencentes a to-das as diretorias da SFC e os titulares de car-gos de chefia de ações de controle nas CGU Regionais participaram de uma votação des-tinada a auxiliar na classificação dos temas a serem incluídos no Plano Tático. Com base nessa votação e nas informações da matriz de riscos, cada diretor selecionou, no máximo, vinte temas da sua área, os quais foram sub-metidos ao colegiado de diretores da SFC.

Ao colegiado de diretores coube finalmen-te decidir quantos e quais finalmen-temas comporiam o Plano Tático, bem como definir uma ordem de prioridade entre eles, para o caso de haver, durante o exercício de 2017, concorrência de trabalhos e limitação na capacidade operacio-nal da CGU.

A análise da sistemática adotada formal-mente pela SFC revela que há alguns pontos similares com a abordagem da ABR, tais como o levantamento do universo auditável e a uti-lização de critérios de risco para priorização dos trabalhos. Não obstante, verificou-se que, além do fato já mencionado de o planejamen-to não ser específico para cada Unidade sob a responsabilidade da CGU, constitui aspecto destoante a inexistência de previsão para que fossem realizadas, pela SFC, as etapas de iden-tificação dos objetivos, riscos e controles, e de avaliação da maturidade da gestão de risco das Unidades passíveis de serem auditadas.

(11)

Também não há referência à realização de um reporte à alta administração ou ao conse-lho de administração das Unidades auditadas acerca do gerenciamento de riscos.

Outro ponto de afastamento é que a defi-nição de quais temas serão auditados baseia-se não apenas na análise de riscos realizada por meio da matriz de riscos, mas sobretudo no posicionamento das Coordenações-Gerais, dos chefes e assessores participantes da vota-ção e do colegiado de diretores da SFC quan-to à importância dos temas.

Por meio das respostas ao questionário, observou-se que, não obstante a ausência de direcionamento formal, quando do planeja-mento anual:

a) treze das Coordenações-Gerais respondentes (81,25%) realizam as etapas de identificação dos objetivos, riscos e controles em Unidades sob a sua responsabilidade. Dessas Coordenações, dez (62,50%) realizam essas etapas em menos de 50% de suas Unidades; uma (6,25%) realiza num percentual de Unidades entre 50 e 75%; e duas (12,5%) realizam em todas as Unidades sob a sua responsabilidade;

b) onze das Coordenações-Gerais respondentes (68,75%) realizam avaliação da maturidade da gestão de riscos nas Unidades sob a sua respon-sabilidade. Desse total, nove (56,25%) realizam essas etapas em menos de 50% de suas Unidades; uma (6,25%) realiza num percentual de Unidades entre 50 e 75%; e uma (6,25%) realiza em todas as Unidades sob a sua responsabilidade;

c) duas das Coordenações-Gerais respondentes (12,50%) apresentam um reporte à alta admi-nistração ou ao Conselho de Admiadmi-nistração das Unidades auditadas acerca do gerenciamento de riscos, sendo que uma (6,25%) realiza essas etapa em menos de 50% de suas Unidades; e a outra (6,25%) realiza num percentual de Unidades en-tre 50 e 75%.

As respostas ao questionário denotaram que as CoordenaçõGerais da SFC já es-tão praticando, em alguma medida, as etapas previstas na metodologia do IIA não con-templadas na Orientação SFC n. 25 (2016). Observa-se, no entanto, que tais etapas não são realizadas em todas as Unidades, e que possivelmente não há uma uniformidade na sua execução, dada a ausência, quando da

ela-boração do planejamento de 2017, de meto-dologia única formalmente estabelecida.

H2 – Os processos de trabalho relativos

aos trabalhos de auditoria da SFC são

compatíveis com as diretrizes da auditoria

baseada em riscos preconizada pelo IIA

Para formação de opinião quanto a essa hipótese, foram analisados manuais operacio-nais e orientações vigentes no âmbito da SFC e consideradas as respostas ao questionário.

Quanto aos manuais, atualmente existem documentos específicos para diferentes tipos5

de trabalhos de auditoria realizados pela SFC, quais sejam:

a) Auditoria Anual de Contas: auditoria de ca-ráter anual que visa verificar as informações pres-tadas pelos administradores públicos federais, bem como analisar os atos e fatos tem certeza que existe distinção conceitual entre atos e fatos de gestão? da gestão, com vistas a instruir o processo de pres-tação de contas que subsidiará o julgamento pelo Tribunal de Contas da União (TCU);

b) Auditoria de Recursos Externos: auditoria so-bre a execução dos projetos nacionais financiados com recursos externos, os quais incluem operações de crédito, financiamentos ou ajustes realizados com entidades internacionais de crédito e recursos finan-ceiros envolvidos no desenvolvimento de ações de go-verno, nas quais exista uma relação com entidades de direito internacional;

c) Avaliação da Execução de Programas de Governo (AEPG): auditoria realizada com a fi-nalidade de obter diagnósticos acerca da eficácia, eficiência e economicidade, assim como, quando pos-sível, da efetividade das políticas públicas.

A análise do Manual de Auditoria Anual de Contas revelou que há fases bem defini-das para realização dos trabalhos, incluindo o planejamento, a execução, a comunicação dos resultados e o monitoramento.

Não obstante, o texto se destina a especi-ficar procedimentos operacionais a serem re-alizados pelas equipes de auditoria, tal como

5. Além daqueles mencionados no texto, existem outros, tais como Avaliação dos Resultados da Gestão; Avaliação de Integridade de Estatais e Fiscalização em Entes Federativos. Esses tipos de trabalho não foram analisados no presente trabalho em função de não haver manuais específicos que detalhem o fluxo de operacionalização das auditorias.

(12)

preenchimento de sistemas, respeito ao cro-nograma dos trabalhos, realização de reuni-ões e emissão de documentos. Não há, por exemplo, na fase de planejamento, informa-ção quanto à necessidade de realizainforma-ção de pesquisas e levantamentos para melhor enten-dimento sobre o objeto, ou de realização da avaliação dos riscos associados ao objeto a ser auditado.

Destaca-se que a definição do escopo dos trabalhos é realizada de modo compartilhado com o TCU. Ou seja, os itens a serem audita-dos são definiaudita-dos a partir de fatores, critérios e percepções também do Tribunal, e não ape-nas pela CGU.

O Manual de Auditoria de Recursos Externos orienta que, tendo em vista haver uma aproximação do processo de trabalho com a Auditoria Anual de Contas, a opera-cionalização das auditorias deve seguir os mesmos princípios e práticas do Manual de Auditoria Anual de Contas.

O Manual que orienta a Avaliação da Execução de Programas de Governo, por sua vez, é o que mais aproxima a operacionaliza-ção dos trabalhos de auditoria à metodologia da auditoria baseada em riscos.

A primeira fase da AEPG é a Tomada de Decisão quanto a quais políticas públicas se-rão avaliadas em determinado período, e é constituída pelas seguintes etapas:

a) Mapeamento e conhecimento das políticas públi-cas pertencentes a cada ministério;

b) Hierarquização (classificação) das políticas pú-blicas a partir de critérios de materialidade, critici-dade e relevância;

c) Priorização das Ações de Governo que serão avaliadas.

Observa-se que essa sistemática se aproxi-ma de alguaproxi-mas atividades realizadas para fins de composição do plano anual de auditoria interna previsto na metodologia da auditoria baseada em riscos.

Em função da alteração, a partir de 2015, na forma de planejamento anual dos traba-lhos da SFC, essa seleção de políticas foi mo-dificada, não ocorrendo de maneira isolada, mas num contexto em que outros objetos também compõem o universo auditável da SFC. Optou-se, no entanto, por trazer para

o presente trabalho a referência à Tomada de Decisão prevista no manual da AEPG em função de sua similaridade com a metodologia da ABR.

Uma vez estabelecidas as políticas que serão avaliadas, para cada uma são definidos trabalhos de auditoria compostos pelas etapas de planejamento, execução, monitoramento e avaliação. Tendo em vista a complexidade e a distribuição da execução das políticas públicas no território nacional, a avaliação das ações de governo é formatada a partir da realiza-ção de vários trabalhos por parte da Unidades Regionais da CGU, os quais são consolidados para fins de formação de opinião.

Nesse sentido, há uma fase inicial de pla-nejamento da estratégia da avaliação por parte de uma equipe da SFC, em que está prevista a realização de um levantamento amplo de in-formações, tais como a estrutura de funcio-namento da ação de governo, suas normas e seus mecanismos de planejamento, gerencia-mento, execução e controle, bem como seu histórico recente de desempenho, restrições e avaliações. Ainda, há a previsão de que os processos gerenciais e operacionais relativos à ação de governo sejam descritos na documen-tação do planejamento, de modo a possibilitar à equipe o entendimento das responsabilida-des dos agentes, das regras, e dos critérios.

O Manual também estabelece a necessidade de identificação dos pontos críticos da política pública, os quais são entendidos como pontos cruciais na trajetória de desenvolvimento da ação de governo, essenciais à viabilização das atividades e atingimento dos objetivos espe-rados e que, portanto, merecem ser elencados como focos potenciais dos exames por parte da CGU. Verifica-se pela definição que esses pontos críticos são os riscos associados à exe-cução da política pública, constituindo outro ponto que aproxima a metodologia da AEPG da ABR preconizada pelo IIA, dado que, na etapa de avaliação da maturidade da gestão dos riscos também há a identificação dos ris-cos associados ao objeto auditado.

Em relação aos testes de auditoria, há pre-visão no Manual para que sejam definidos na fase de planejamento da estratégia, contudo, eles não estão orientados diretamente para o teste de controles (os quais não são identifi-cados na etapa de planejamento), e sim para o teste das hipóteses formuladas na etapa do

(13)

planejamento, com base na fundamentação dos pontos críticos (riscos).

Definida a estratégia de avaliação da polí-tica pública, são realizados os trabalhos por diferentes equipes da CGU. Esses trabalhos também passam pelas etapas de planejamento (bem sucinto, destinado ao conhecimento da estratégia e ao levantamento inicial de infor-mações), execução, comunicação dos resulta-dos e, caso a unidade auditada seja da esfera federal, monitoramento.

À medida em que os trabalhos são reali-zados, vão sendo emitidas pela SFC opiniões parciais sobre a execução da ação de governo e recomendações de melhoria. Ao final, é emi-tido um relatório com a visão geral acerca da avaliação da política e iniciada a fase de moni-toramento das recomendações.

Observou-se, dessa forma, que a metodo-logia da AEPG possui pontos similares com a auditoria baseada em riscos, com destaque para a etapa de planejamento da estratégia de avaliação, a qual contempla a necessidade do conhecimento detalhado do objeto e a identi-ficação dos principais riscos de sua execução.

No questionário, foi solicitado aos coor-denadores-gerais que indicassem em quan-tos trabalhos de auditoria previsquan-tos no Plano Anual da SFC, são cumpridas, durante a exe-cução, as etapas previstas no processo de au-ditoria baseada em riscos.

Os dados mais relevantes das respostas de-monstraram que:

a) as etapas de “planejamento”, “aplicação de tes-tes” e “emissão de opinião” são realizadas em to-dos os trabalhos de auditoria por doze (75%) das Coordenações-Gerais respondentes;

b) a etapa de “definição do escopo” é realizada em todos os trabalhos de auditoria por treze (81,25%) das Coordenações-Gerais respondentes;

c) a “avaliação da maturidade da gestão de riscos do objeto auditado” é realizada em todos os tra-balhos por uma (6,25%) Coordenação-Geral; em

menos de 50% dos trabalhos por dez (62,5%) das Coordenações-Gerais respondentes; e em nenhum dos trabalhos por cinco (31,25%) Coordenações-Gerais;

d) o “monitoramento de recomendações” é re-alizado em todos os trabalhos por oito (50%) Coordenações-Gerais e em mais de 75% dos tra-balhos por seis (37,5%) das Coordenações-Gerais respondentes.

Por meio das respostas, depreende-se que as Coordenações-Gerais da SFC realizam as etapas previstas na metodologia da ABR, mas não em todos os trabalhos. Ainda, observou-se que a “avaliação da maturidade da gestão de riscos do objeto auditado” é realizada em um baixo quantitativo de trabalhos.

Portanto, concluiu-se que a SFC não adota integralmente a metodologia da ABR na ope-racionalização dos trabalhos de auditoria, mas que há aspectos compatíveis, tanto no que tange às diretrizes formalmente estabelecidas (manuais), quanto na abordagem praticada pelas Coordenações-Gerais de auditoria.

Preparo dos auditores internos

H3 – Os auditores internos da SFC estão

tecnicamente preparados para realizar

trabalhos de auditoria compatíveis com

a metodologia da auditoria baseada em

riscos preconizada pelo IIA

Essa hipótese foi avaliada a partir das res-postas dos coordenadores-gerais a três per-guntas do questionário, as quais tinham como finalidade captar a percepção quanto à prepa-ração técnica dos auditores para atuarem con-forme demandado pela ABR.A primeira e a segunda dessas questões perguntaram se havia na Coordenação-Geral sob a responsabilidade do respondente auditores habituados com a temática de gestão de riscos e aptos a realizar, respectivamente, trabalhos de avaliação e de consultoria. A consolidação das respostas en-contra-se explicitada nas Tabelas 1 e 2.

(14)

TABELA 1: CONSOLIDAÇÃO DAS RESPOSTAS À PERGUNTA “HÁ AUDITORES LOTADOS NA SUA COORDENAÇÃO-GERAL HABITUADOS COM A TEMÁTICA DE GESTÃO DE RISCOS E APTOS A REALIZAR TRABALHOS DE AVALIAÇÃO SOBRE O

TEMA?”

RESPOSTA QTD %

Sim, e o percentual aproximado é menor ou igual a 20% dos auditores 6 37.50 Sim, e o percentual aproximado fica entre 20% e 40% (inclusive) dos auditores 7 43.75 Sim, e o percentual aproximado fica entre 40% e 60% (inclusive) dos auditores 1 6.25 Sim, e o percentual aproximado fica entre 60% e 80% (inclusive) dos auditores 1 6.25 Sim, e o percentual aproximado fica entre 80% e 100% dos auditores 0 0

Não há auditores aptos a realizar trabalhos de avaliação sobre o tema 1 6.25

Não sei responder 0 0

Total de respondentes 16 100

Fonte: Elaboração própria.

TABELA 2: CONSOLIDAÇÃO DAS RESPOSTAS À PERGUNTA “HÁ AUDITORES LOTADOS NA SUA COORDENAÇÃO-GERAL HABITUADOS COM A TEMÁTICA DE GESTÃO DE RISCOS E APTOS A REALIZAR TRABALHOS DE CONSULTORIA SOBRE O

TEMA?”

RESPOSTA QTD %

Sim, e o percentual aproximado é menor ou igual a 20% dos auditores 12 75.00 Sim, e o percentual aproximado fica entre 20% e 40% (inclusive) dos auditores 1 6.25 Sim, e o percentual aproximado fica entre 40% e 60% (inclusive) dos auditores 1 6.25 Sim, e o percentual aproximado fica entre 60% e 80% (inclusive) dos auditores 1 6.25 Sim, e o percentual aproximado fica entre 80% e 100% dos auditores 0 0

Não há auditores aptos a realizar trabalhos de avaliação sobre o tema 1 6.25

O resultado demonstrou que, na opinião da maioria dos coordenadores-gerais, a maio-ria dos auditores da SFC não estão ainda ple-namente aptos a realizar trabalhos de audito-ria destinados à avaliação da gestão de riscos das Unidades jurisdicionadas.

Os trabalhos de consultoria sobre gestão de riscos demandam que os auditores conhe-çam em um nível mais elevado a forma como o processo deve ser operacionalizado, e que sejam capazes de orientar a organização quan-to às fases que o compõe e ao emprego das técnicas necessárias à sua implementação e melhoria.

Em relação à aptidão dos auditores da SFC para realização desse tipo de trabalho de au-ditoria, observou-se que, na percepção dos coordenadores-gerais, um quantitativo ainda

menor de auditores encontra-se plenamente habilitado.

Esse quadro denota a necessidade de am-pliar o conhecimento acerca do tema gestão de riscos entre o corpo funcional da SFC, de modo que no processo de trabalho sejam contempladas etapas fundamentais da ABR, a exemplo da avaliação da maturidade da gestão de riscos das organizações auditadas.

A terceira questão associada à terceira hi-pótese teve por objetivo levantar a impressão dos coordenadores-gerais quanto ao preparo dos auditores para atuarem de forma mais di-nâmica e proativa nos trabalhos e orientada para a melhoria dos negócios da organização auditada. Os resultados encontram-se dispos-tos na Tabela 3.

(15)

TABELA 3: CONSOLIDAÇÃO DAS RESPOSTAS À PERGUNTA “A AUDITORIA BASEADA EM RISCOS DEMANDA UMA EVOLUÇÃO TÉCNICA DOS PROFISSIONAIS, PARA QUE SEJAM CAPAZES DE ALTERAR A ORIENTAÇÃO, OS OBJETIVOS E

OS RESULTADOS DOS SEUS TRABALHOS. AINDA, É NECESSÁRIO QUE OS AUDITORES ESTEJAM APTOS A TRATAR DE ASSUNTOS ESTRATÉGICOS COM A ALTA ADMINISTRAÇÃO, E QUE COMPREENDAM OS NEGÓCIOS DA EMPRESA, SEUS RISCOS, E OS CONTROLES DESTINADOS AO TRATAMENTO DOS RISCOS EM TODOS OS NÍVEIS ORGANIZACIONAIS RE-LEVANTES. HÁ AUDITORES LOTADOS NA SUA COORDENAÇÃO-GERAL PREPARADOS TECNICAMENTE PARA ATUAREM

CONFORME ESSA PERSPECTIVA?”

RESPOSTA QTD %

Sim, e o percentual aproximado é menor ou igual a 20% dos auditores 3 18.75 Sim, e o percentual aproximado fica entre 20% e 40% (inclusive) dos auditores 7 43.75 Sim, e o percentual aproximado fica entre 40% e 60% (inclusive) dos auditores 3 18.75 Sim, e o percentual aproximado fica entre 60% e 80% (inclusive) dos auditores 2 12.50 Sim, e o percentual aproximado fica entre 80% e 100% dos auditores 1 6.25 Não há auditores preparados tecnicamente para atuarem nessa perspectiva 0 0.00

O resultado mostrou que as Coordenações-Gerais dispõem de auditores aptos a atuarem de modo compatível com a abordagem re-querida pela ABR, mas que esse quantitativo carece de incremento, especialmente quando se considera a quantidade de unidades sob a responsabilidade da SFC.

Dessa forma, a partir das respostas às três questões, baseadas na percepção dos respon-dentes, considerou-se que grande parte dos auditores da SFC não está ainda tecnicamente preparada para realizar trabalhos de auditoria compatíveis com a metodologia da auditoria baseada em riscos preconizada pelo IIA.

Verificou-se, no entanto, que desde a edi-ção da IN MP/CGU n. 01, de 2016, a SFC tem promovido capacitações voltadas para a

temática de gestão de riscos, indicando, por-tanto, que essa competência está sendo gradu-almente desenvolvida.

H4 – Os auditores internos da SFC

estão sensibilizados para a mudança

de abordagem requerida pela auditoria

baseada em riscos preconizada pelo IIA

em relação à auditoria interna tradicional

Essa hipótese foi avaliada a partir das res-postas dos coordenadores-gerais a uma per-gunta do questionário, destinada a captar a percepção quanto à existência de auditores abertos ou adeptos às mudanças de atuação e de postura demandadas pela metodologia da auditoria baseada em riscos. O resultado en-contra-se disposto na Tabela 4.

(16)

TABELA 4: CONSOLIDAÇÃO DAS RESPOSTAS À PERGUNTA “A AUDITORIA BASEADA EM RISCOS PRESSUPÕE UMA ALTERAÇÃO NA ABORDAGEM DOS PROFISSIONAIS DE AUDITORIA EM RELAÇÃO À CHAMADA AUDITORIA

TRADICIO-NAL, DEMANDANDO UMA POSTURA VOLTADA AO DESENVOLVIMENTO DA ORGANIZAÇÃO, E NÃO PROPRIAMENTE AO APONTAMENTO DE ERROS OU IMPROPRIEDADES DA GESTÃO. HÁ AUDITORES LOTADOS NA SUA

COORDENAÇÃO-GERAL SENSIBILIZADOS* PARA ATUAREM CONFORME ESSA NOVA PERSPECTIVA?”

RESPOSTA QTD %

Sim, e o percentual aproximado é menor ou igual a 20% dos auditores 2 12.50 Sim, e o percentual aproximado fica entre 20% e 40% (inclusive) dos auditores 3 18.75 Sim, e o percentual aproximado fica entre 40% e 60% (inclusive) dos auditores 3 18.75 Sim, e o percentual aproximado fica entre 60% e 80% (inclusive) dos auditores 3 18.75 Sim, e o percentual aproximado fica entre 80% e 100% dos auditores 5 31.25 Não há auditores sensibilizados para atuarem nessa perspectiva 0 0.00

Total de respondentes 16 100%

O resultado demonstrou que, na percepção dos coordenadores-gerais, há um quantitativo significativo de auditores da SFC sensibiliza-dos para a mudança de abordagem requerida pela auditoria baseada em riscos preconizada pelo IIA em relação à auditoria interna tradi-cional, pois em torno de 70% das coordena-ções-gerais, o volume de auditores sensibiliza-dos é superior a 40%.

Considerações Finais

A temática de gestão de riscos está em evi-dência no contexto do Poder Executivo fe-deral, tendo sido reforçada recentemente por estudos da OCDE e por normativos. A audi-toria interna constitui ator importante nesse contexto, à medida em que exerce papel de avaliação das estruturas de gestão de riscos e de controles internos administrativos nas or-ganizações.

A SFC/CGU desempenha as funções de auditoria interna no âmbito do Poder Executivo Federal (exceto em Unidades de abrangência dos órgãos setoriais), sendo que nas entidades essas funções são exercidas de forma concorrente com as Unidades de Auditoria Interna (Audin).

A presente análise demonstrou que, no geral, a SFC possui pontos de atuação simi-lares à Auditoria Baseada em Riscos do IIA, tanto em relação às diretrizes formalmente definidas, quanto em relação à forma de atu-ação das Coordenações-Gerais. Não obstan-te, concluiu-se que as práticas de auditoria da SFC não se encontram totalmente alinhadas

à ABR, e que os auditores internos não estão, por conseguinte, suficientemente preparados tecnicamente para executá-la.

Não se pode deixar de considerar, no en-tanto, que, tendo em vista ser recente a edição da Instrução Normativa SFC n. 03, de 2017, a qual estabelece para as UAIG (incluindo a SFC) a necessidade de utilizarem abordagens de trabalho baseadas em riscos, é de se esperar que os processos internos da Secretaria sejam paulatinamente adaptados, e que os auditores sejam preparados ao longo do tempo para atuarem em conformidade com a essa nova perspectiva.

A partir dos insumos contidos no pre-sente trabalho, observa-se que há potencial para análise do tema em pesquisas futuras. Uma possível perspectiva é o levantamento de quantas e quais organizações públicas fe-derais possuem gerenciamento de riscos em nível de maturidade que permita a utilização da ABR por parte das respectivas Unidades de Auditoria Interna Governamental.

Outro aspecto passível de ser estudado diz respeito à análise dos requisitos necessá-rios para que uma UAIG utilize a metodo-logia da ABR, partindo do pressuposto de que há um gerenciamento de riscos eficaz e confiável na Unidade Auditada. Esse estudo poderia ser norteado por eixos temáticos, tais como estrutura de governança da Unidade Auditada; competências e conhecimento do Responsável pela UAIG e dos demais audito-res; práticas e processos de trabalho da UAIG, entre outros.

(17)

Referências

ARENS, Alvin A.; ELDER, Randal J; BEASLY, Mark S. Auditing and assurance services: an integrate approach. 14 ed. Upper Saddle River: Pearson Prentice Hall, 2012.

BENLI, Vahit Ferhan; CELAYIR, Duygu. Risk based internal auditing and risk assessment process. European Journal of Accounting Auditing and Finance Research, United Kingdom v.2, n.7, p. 1-16, Sept. 2014. Disponível em http://www.eajournals.org/journals/european-jour-nal-of-accounting-auditing-and-finance-research-ejaafr/vol-2issue7september-2014/risk-based -internal-auditing-risk-assessment-process/. Acesso em: 23 abr. 2017.

BRASIL. Decreto n. 3.591, de 06 de setembro de 2000. Dispõe sobre o Sistema de Controle Interno do Poder Executivo Federal e dá outras providências. Diário Oficial da União, Brasília, 08 set. 2000. Disponível em http://www.planalto.gov.br/ccivil_03/decreto/d3591.htm. Acesso em: 03 maio 2017.

BRASIL. Decreto-Lei n. 200, de 25 de fevereiro de 1967. Dispõe sobre a organização da Administração Federal, estabelece diretrizes para a Reforma Administrativa e dá outras provi-dências. Diário Oficial da União, Brasília, 27 fev. 1967. Disponível em http://www.planalto.gov. br/ccivil_03/decreto-lei/Del0200.htm. Acesso em: 03 maio 2017.

BRASIL. Lei n. 10.180, de 06 de fevereiro de 2001. Organiza e disciplina os Sistemas de Planejamento e de Orçamento Federal, de Administração Financeira Federal, de Contabilidade Federal e de Controle Interno do Poder Executivo Federal, e dá outras providências. Diário Oficial da União, Brasília, 07 fev. 2001. Disponível em http://www.planalto.gov.br/ccivil_03/ leis/LEIS_2001/L10180.htm. Acesso em: 03 maio 2017.

BRASIL. Lei n. 13.303, de 30 de junho de 2016. Dispõe sobre o estatuto jurídico da empresa pú-blica, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios. Diário Oficial da União, Brasília, 01 jul. 2016a. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/lei/L13303.htm. Acesso em: 27 abr. 2017.

BRASIL. Ministério do Planejamento, Orçamento e Gestão (MP); Controladoria-Geral da União (CGU). Instrução Normativa Conjunta n. 1, de 10 de maio de 2016b. Diário Oficial da União, Brasília, 11 maio 2016. Disponível em http://pesquisa.in.gov.br/imprensa/jsp/visuali-za/index.jsp?jornal=1&pagina=14&data=11/05/2016. Acesso em: 09 maio 2017.

BRASIL. Secretaria Federal de Controle Interno. Instrução Normativa n. 03, de 09 de junho de 2017, que aprova o Referencial Técnico da Atividade de Auditoria Interna Governamental do Poder Executivo Federal. Disponível em http://www.cgu.gov.br/sobre/legislacao/instrucoes-normativas. Acesso em: 12 junho 2017.

CASTANHEIRA, Nuno. Auditoria interna baseada no risco. 2007. 147 f. Dissertação (Mestrado) - Contabilidade e Auditoria, Universidade do Minho, Braga, 2007. Disponível em: http://repo-sitorium.sdum.uminho.pt/handle/1822/7061. Acesso em: 13 abr. 2017.

CASTRO, Domingos Poubel de. Auditoria e Controle interno na administração pública. 2. ed. São Paulo: Atlas, 2009.

Chartered Institute of Internal Auditors. Risk based internal auditing. [S.l.: s.n], 2014.

CICCO, Francesco de. Auditoria baseada em riscos: mudando o paradigma das auditorias inter-nas. São Paulo, 2006. Disponível em http://www.qsp.org.br/auditoria_risco.shtml. Acesso em: 18 maio 2017.

GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 4 ed. São Paulo: Atlas, 2002.

GRIFFITHS, David. Three views on implementation. [S.l.: s.n], 2015a. [E-Book]. Disponível em http://www.internalaudit.biz/webresources/rbiaimplementation.html. Acesso em: 23 abr. 2017.

(18)

GRIFFITHS, David. Risk based internal auditing: An introduction. [S.l.: s.n], 2015b. [E-Book]. Disponível em http://www.internalaudit.biz/webresources/rbiaintroduction.html. Acesso em: 23 abr. 2017.

LISBOA, Ibraim. Manual de auditoria interna: Conceitos e práticas para implementar a Auditoria Interna. [S.l]: Maph, Editora, [2014?]. Disponível em https://www.passeidireto.com/arqui-vo/4485954/manual-de-auditoria-interna---ibraim-lisboa. Acesso em: 29 abr. 2017.

MINISTÉRIO DA TRANSPARÊNCIA, FISCALIZAÇÃO E CONTROLE. Orientação n. 25, de 26 de julho de 2016. Diretrizes para seleção dos temas prioritários para a SFC. Brasília. Julho de 2016.

ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO. Avaliação da OCDE sobre o Sistema de Integridade da Administração Pública Federal Brasileira. [S.l.: s.n.], 2011. Disponível em http://www.cgu.gov.br/assuntos/articulacao-internacional/ convencao-da-ocde/documentos-relevantes. Acesso em: 05 jul. 2017.

POMMERENING, Edivan Júnior; BENCKE, Fernando Fantoni. Auditoria convencional e a auditoria baseada em risco: contribuições à gestão organizacional. Unoesc &Ciência – ACSA., Chapecó, v. 2, n. 1, jan./jun. 2011. Disponível em https://editora.unoesc.edu.br/index.php/ acsa/article/view/746. Acesso em: 21 abr. 2017.

RAMAMOORTI, Sridhar. Internal auditing: history, evolution, and prospects. The Institute of Internal Auditors Research Foundation, 2003. Disponível em https://na.theiia.org/iiarf/ Public%20Documents/Chapter%201%20Internal%20Auditing%20History%20Evolution%20 and%20Prospects.pdf. Acesso em: 21 abr. 2017.

SILVA, Cristóvão Barros da. O papel da auditoria baseada em risco e da gestão de risco no con-texto da governança no judiciário. 2015. 50 f. Monografia (Especialização) - Escola de Contas Professor Barreto Guimarães, Tribunal de Contas do Estado de Pernambuco, Recife, 2015. Disponível em http://www.tjpe.jus.br/web/revista-conecta-tjpe/-/o-papel-da-auditoria-baseada-em-risco-e-da-gestao-de-risco-no-contexto-da-governanca-no-judiciario?inheritRedirect=-true. Acesso em: 21 abr. 2017.

THE INSTITUTE OF INTERNAL AUDITORS. Estrutura Internacional de Práticas Profissionais (IPPF). São Paulo, 2017. Versão em português disponível em: http://www.iiabra-sil.org.br/ippf.html. Acesso em: 30 abr. 2017.

TRINDADE, Alex. Stakeholder. 2011. Disponível em http://www.administradores.com.br/

(19)

Conheça mais sobre a CGU www.cgu.gov.br

cguonline

@cguonline